CERT-AGID наблюдает серию кампаний распространения вредоносного ПО Adwind/jRAT в Италии. Кампания, запущенная 12 июня 2024 года, использует письма с прикрепленными ZIP-архивами, содержащими HTML-файлы. Если язык браузера установлен на итальянский, отображается веб-страница с вредоносным содержимым, представленная в виде изображения, которое при клике на кнопку "ОК" открывает JAR-файл INVOICE.jar.
Файл INVOICE.jar содержит несколько зашифрованных строк и содержит функцию, проверяющую язык системы, на которой он запущен. Если системный язык и браузерный язык являются итальянскими, то файл выполняет вредоносные действия. Онлайн-песочницы не обнаруживают его как вредоносное ПО, потому что он использует английский язык по умолчанию на системе и в браузере песочницы.
Чтобы расшифровать зашифрованные строки, INVOICE.jar использует различные алгоритмы шифрования, такие как Blowfish и DES. Код на JDoodle представляет методы, которые используются для расшифровки строк, включая функцию MD5-хеширования ключей, создание секретного ключа и использование шифра для расшифровки этих строк.
Чтобы успешно расшифровать строки, файл должен быть запущен на системе с установленным итальянским языком и не должен работать в виртуальной среде. Обойдя предварительные проверки и используя функции расшифровки, можно получить открытые строки. Приведен пример кода для расшифровки некоторых строк.
В целом, эта кампания представляет серьезную угрозу для пользователей в Италии. Она использует уязвимости в языке браузера и системы для распространения вредоносного ПО и выполняет вредоносные действия при соблюдении определенных условий. Пользователям следует быть осторожными при открытии электронной почты и приложений и обновлять свои системы и программы, чтобы избежать таких атак.
Indicators of Compromise
IPv4
- 65.38.120.211
URLs
- https://construtorasilvaemendes.com/66d68ce73c83226asnd81948966d68ce73c83226a/
- https://download2282.mediafire.com/tyi44yv1a8lg1N2Lb-gD-FL-DET8qupkusoJCwtmBgv74yIU6QLZqsGG8S4JhSxLonqFbx5OlrtOkFObaHqHBftq35drrXb5YiIYCScWGPhgaD4EZQzar2B-BRoi9u_tGxm1VvJxM3LjnWKMPAi7kc5GPRyRj7XKKNmixBTx82s/77afjtvib6zxooh/DOCUMENTO.jar
- https://imagems17.appsabs.site/Imagem.jpg
- https://imagems20.appsabs.site/Imagem.jpg
- https://immobiliarebelliniepecunia.xyz
- https://immobiliarebelliniepecunia.xyz/66d68ce73c83226asnd81948966d68ce73c83226a/?47000568
- https://ittnetprovisorio1.websiteseguro.com/FATTURE.html
- https://moduloj.lamsnajs.site/Modulo32.jpg
- https://onedrive.live.com/?authkey=%21AN2x201yr0GDysk&id=83F3417C81660A73%21107&cid=83F3417C81660A73&parId=root&parQt=sharedby&o=OneUp
- https://passo2.appsabs.site/Imagem.png
- https://www.mediafire.com/file_premium/qo8wk5emjzpjvwi/Pagamento.jar/
MD5
- 110083a0b68c25737f8122adbdd0b3bd
- 1f0cbfd23fd120ce448ed96bd441646c
- 1f0d5ad2ca167d1ae666316e85f2cbb8
- 236eebb19dfb51258ebfefe8b1a1a937
- 361becd2652e5e7cb6026b36e6697591
- 4f1f063247d671cfe660d8f105603e94
- 582167356ffa4f72b9a6ada93c13b250
- 5b251fd407ce790f7bcd99580040bdc3
- 7d23d6cf7834787641a8825f6f9f7b57
- 7fe180352802d8dcb4ca36a3418025e8
- 99d5fe14a0d144a3772fd71d2cca37ed
- ac88fa987a241fc845228cb8940c82a5
- c0aa51b5514f73683b0506d91adc353f
- c159fefcaf3609d169d6ea15044d22c7
- c4cbbf950886528b20015f390c75481c
- c4d0244af16b3199ca9d744c432882d2
- de280a47caff9f44d7ba29455edc2355
- f537f71894afaba91dd2a56e16f9a26c
- f8df730cc77b4b7fafec11f2f036ee40
SHA1
- 0112673dc496ae13cd78c12c329bfbf08579f4fa
- 04cfb05ccc89915f6c263060f1174b5e23167f74
- 0b265db6a6cc36d4cea8ad88bb4afdb7cc594253
- 0e5b2033148cc7bb4cf5f390211aa70083707559
- 287881391ecd467f9815c015d0ed1896f15e2200
- 45c5cdb9243543ec0eb6a3f68dd0a642cadf67cb
- 4724d842c2b43bb122a3343a2320ac6b7cf8244e
- 4fd9f182ecb2ff67c2d35850be28d22a761a37b6
- 5fbc6f56132392c3fbadcc91df9dcc33abce3f24
- 629e46d5468b442c4f7dd5806403deb1669d3ae5
- 63e5ae59deb3a15d652892e0421e540fd9ae08fb
- 7a87a245532fcea3f3e8d6bedc820f87df9a1526
- 817cbcd6b87e8395ac7b73e06ffe77071c0f459b
- 871e231d7fe185a77a901ca34f077966953a6ef3
- 96fb13713204d63d6de969ba8f736db1a3001742
- 9d0cd40482b5d997edeaec2dec282a74ff6f4202
- b812562427b6efd0f78475df07f5a9fbfc38025b
- d73e29fb07edbd9060d21a865a9ccb0f475c89d5
- de99730dc46c29e48630c293f52050537741b90f
SHA256
- 0873fde8f35bd8b3abac62c6215e7b1206fa408af33c38c93fb0b19346697538
- 222b11cd47d6a4ac28268990d206c13c778f392e3bd39669313d6ce3cfdd4eee
- 282fac500d4e0c28ed625334abb2b53dbd27a15c499deca73ade200da9169078
- 440272f2e004e49e44b9e720409b2f9878356b1a946a827ce9a7b673eee5333d
- 59662b480737b9e4d30e297364a65eb16cf246829c6fdc0f3d5b76175af312c6
- 5b2505d939f0ab25a3e5688fad062d01058700752413d6adbfbc01c1f6121d88
- 7065939c43537010f995bbd000ee255309fa19d6d51e06661dd4eebb38254f38
- 7883ab7cb61c9c5577330461543cd1bc3bb1f9325ee431f784b35a04399b0411
- 820d359a3a63c92915419345f82908530c162ed9bddc1a4628491f035b27832f
- a4115c5e3a969669c6cbeb9155d44ac6ca7685144dabdff4f22a865788c06c12
- b95d401fb5ee111edb1c748da48d702ef6cae3e831fe1bb6999d1913a6d06cc2
- c118146ed054580bede9f8f65d46e3b4adf3c50067b775a47e7b647eb3556f9c
- d1f7262335523dfca58bb14cc6a408f2caa46b75f93bbfabc5104276776e1ca8
- db25cca0219c5d2f94f911e09bf08d94532823b0cd7199a5a10549c72bc7efcb
- ec691f2cd0b0281c2ae82d8a8dc32e3704d01da682b950c481da554c835342f3
- f07fae308c4681a38f7097bb3eee10ac6186a6e81eaff9b50f17122dc480add4
- f1129ab508d02ef94798164ef134de73211e42594ae4620dd210a4381d5f39dd
- f837cf0fb2f8e744ff61c8e70ac7610763f68a50b82a0c953e74ad28048c2f6f
- f8665d084257d20e2bdf0d6a4f97b65a8d3fccc8b4fa04353f05a2d01b60216f
